Biztonsági szakértők hívták fel a figyelmet egy kritikus biztonsági résre az iOS rendszerben: csaknem teljesen észrevétlen módon tudnak támadók jelszavakat lopni a készülékünkről, úgy, hogy szinte semmit sem tehetünk ellene.

A bug az ImageIO-ban, a képadatokat kezelő rendszerben van. A támadó küld nekünk egy MMS-t, amiben TIFF formátumba rejtve található az ártalmas kód. Amint megkapjuk a képet, a kód lefut. A támadás Safarin keresztül is működik, csak meg kell látogatni egy támadó weboldalt, és kész.

wwdc_2014_continuity_sms_screens.jpeg

Miután a kód lefutott, a támadó hozzáfér a különféle, memóriában található belépési adatokhoz. iOS-en tovább nem tud menni, a sandboxing miatt nem veheti át a teljes uralmat a készülék felett. 

A hiba nagysága az Android Stagefright bugjához hasonlítható, ami tavaly váltott ki hasonló szájhoz kapást.

Szerencsére már kint is van a bugfix, iOS 9.3.3.-nak hívják. Mindenki töltse, tegye fel, és megmenekült. Viszont a bug ott van Mac OS X-en, tvOS-en és watchOS-en is, ezek közül leginkább a Mac lehet fájdalmas, főleg hogy ott sandbox sincs, így a támadó még nagyobb kontrollt érhet el a készülék felett. Ezt megelőzendő a két napja megjelent OS X El Capitan v10.11.6 rendszert kéretik feltenni.